Black Hat 2022公布14大研究新發(fā)現(xiàn)
Black Hat 2022已在拉斯維加斯落下帷幕,每屆大會都會公布一些安全研究成果,這些研究成果反映了當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域諸多殘酷的現(xiàn)實和趨勢,同時兼具啟發(fā)性和討論性。近日,PCMag列出了本屆大會上14個重磅研究成果,現(xiàn)在就讓我們通過本文來一一窺探。
1. 跨越四分之一世紀(jì)的黑客活動
從首次舉辦至今,黑帽大會迎來了它的第25歲生日,在感嘆時間流逝之快的同時,為紀(jì)念這一時刻,會議將其中兩個主題演講的重點聚焦在安全的未來,涉及到與烏克蘭相關(guān)的網(wǎng)絡(luò)戰(zhàn)爭、網(wǎng)上虛假信息的興起,以及聲稱2020年美國大選是欺詐性選舉的政治動蕩事件。
網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)前局長Chris Krebs介紹了網(wǎng)絡(luò)安全世界面臨的許多挑戰(zhàn)。他呼吁與會者和安全公司接受一套原則,以在面對未來可能的動蕩時能夠運籌帷幄。
知名網(wǎng)絡(luò)安全記者描述了近年來一些令人震驚的安全事件,包括震網(wǎng)病毒(Stuxnet)、Colonial管道攻擊等,并強調(diào)這些攻擊都是可以預(yù)測的,在造成巨大災(zāi)害或損失之前就有過許多警告信號,只是人們未能提前采取積極有效的預(yù)防措施。
2. 短信代碼讓多因素認證失效
當(dāng)密碼不足以應(yīng)對安全風(fēng)險時,銀行和敏感網(wǎng)站就會轉(zhuǎn)向多因素認證。但這也存在漏洞。一個瑞典的研究小組證明,通過短信發(fā)送認證碼本身就是不安全的。他們追蹤了最近一些因雙因素安全保護措施失效的事件,稱如果黑客擁有用戶的登錄憑證和電話號碼,基于文本的認證就不能起到有效的保護作用。
3. “隱形手指”操控觸摸屏
想象一下,你走進會議室,把手機放在桌子上,這時,一只看不見的手指將其解鎖并安裝了惡意軟件。一個學(xué)術(shù)研究小組模擬了一種攻擊技術(shù),能從幾厘米外操控手機觸摸屏。如果受害者把設(shè)備放在他們事先布置好隱藏天線的桌子上,他們就可以利用這一“看不見的手指”對設(shè)備實施觸摸操作。
4. 打破無用規(guī)則,采取實際措施
安全初創(chuàng)公司 Copado 的副總裁兼安全主管 Kyle Tobener 在會上提出,如果某些威脅難以避免,最佳的方式就是采取手段將造成的損害降到最低。這種減少傷害的理念多年來在醫(yī)學(xué)上被證明是有效的,例如,僅告誡吸毒者不許吸毒幾乎很難起到實質(zhì)性作用,不如向他們提供干凈的針頭來減少其它危害。相信這種理念在安全領(lǐng)域也可以發(fā)揮作用。
5. 重大網(wǎng)絡(luò)事件調(diào)查手冊
對已經(jīng)發(fā)生的重大網(wǎng)絡(luò)事件,如果企業(yè)不花時間追本溯源,那在下一次危機來臨時注定要重蹈覆轍。會議期間,一研究小組試圖通過創(chuàng)建《重大網(wǎng)絡(luò)事件調(diào)查手冊》,為事件調(diào)查提出了完善的可行性方案。
該手冊文件包含了一份在企業(yè)或組織中創(chuàng)建獨立審查委員會的指南,從決定誰應(yīng)該成為委員會成員到向相關(guān)方展示調(diào)查結(jié)果。這些小組的任務(wù)是收集有關(guān)網(wǎng)絡(luò)安全事件的事實,然后與更廣泛的網(wǎng)絡(luò)安全社區(qū)在線共享這些信息。目前,該文檔在 GitHub 上可用。
6. 惡意軟件瞄準(zhǔn)求職者
普華永道的兩名威脅情報專家表示,全球威脅行為者正在通過網(wǎng)絡(luò)釣魚鏈接攻擊在線求職者。黑客通過創(chuàng)建虛假網(wǎng)站、虛假的社交媒體資料,發(fā)布虛假的職位,向受害者提供惡意鏈接和文件附件。
專家建議求職者不要點擊陌生電子郵件或LinkedIn 消息中的鏈接,尤其是在職但準(zhǔn)備跳槽的求職者,如果因此中招惡意軟件并感染了公司網(wǎng)絡(luò),會讓自身在公司的處境變得格外難堪。
7. 初創(chuàng)公司忽視安全
會議期間,一項關(guān)于提高漏洞獎勵方法的黑帽簡報似乎提醒人們,許多快速發(fā)展的初創(chuàng)公司并沒有將安全納入其早期發(fā)展計劃。Luta Security 創(chuàng)始人兼首席執(zhí)行官 Katie Moussouris 講述了她是如何在去年發(fā)現(xiàn)Clubhouse 應(yīng)用程序中的嚴重漏洞,并花了大量精力才使對方公司注意的艱難歷程。她坦言:“我花了幾個星期才找到合適的聯(lián)系人。”
8. Apple 安全性漏洞
Mac 比 PC 安全是一條近乎公認的真理,每次對 macOS 進行更新時,安全層都會不斷增加,但并非操作平臺的每個組件都跟上這些安全升級。一位研究人員通過長期深入研究 macOS,提出了一種進程注入攻擊,使他能夠繞過所有這些安全層。他演示了使用這種攻擊來逃避沙箱、提升權(quán)限并繞過系統(tǒng)完整性保護系統(tǒng)。安全漏洞在macOS Monterey中已修復(fù),甚至可以向后移植到 Big Sur 和 Catalina,但在每個應(yīng)用程序都進行簡單調(diào)整之前,它不會完全關(guān)閉。
9. ELAM的兩面性
微軟正在盡最大努力使 Windows 更加安全,但有時安全工作可能會適得其反。Early Launch Antimalware (ELAM) 系統(tǒng)允許安全程序在啟動過程中進行超前啟動,并保護它們免受所有篡改。受微軟的批準(zhǔn)政策,ELAM 驅(qū)動程序無法偽造或用戶自行調(diào)整,但一位研究人通過現(xiàn)有的批準(zhǔn)規(guī)則不嚴格的驅(qū)動程序中找到了一個漏洞,其結(jié)果是某惡意程序不僅可以進入ELAM提供的“安全掩體”,還可以破壞其中的防病毒程序。
10. 漏洞獵人的危機
成為安全漏洞獵人往往讓人心生羨慕,可以通過報告嚴重的安全漏洞而獲得高達六位數(shù)的獎金,但光鮮的背后,也可能被起訴或被指控犯罪。最近的政策變化保護了那些誠實的黑客,但它們并沒有解決一個特定的問題:在收集信息來證明報告的漏洞時,獵手通常會捕獲大量個人信息記錄,如果因此而被起訴,獵手可與律師合作尋求最佳的解決方案。
11. 汽車鑰匙的重放攻擊
使用筆記本電腦和合適的設(shè)備可以輕松記錄和回放無線電信號,這就是為什么汽車鑰匙采用了滾動編碼系統(tǒng),每按一次按鈕就會發(fā)出不同的信號,一個預(yù)先錄制的信號不會起任何作用。然而,研究人員發(fā)現(xiàn),對于一些汽車來說,多個舊信號可以使?jié)L動代碼系統(tǒng)回滾,讓攻擊者打開車門。不僅如此,研究人員發(fā)現(xiàn)這種沒有時間限制,舊的代碼在被捕獲后超過100天仍被接受。
12. 使用 Zoom IM 放大惡意軟件
自新冠疫情大流行開始以來,Zoom已成為遠程辦公、視頻聊天的重要工具。事實證明,Zoom的即時通訊是建立在XMPP上,一位研究人員構(gòu)建出出了多種濫用XMPP的方式,從而最終實現(xiàn)在目標(biāo)計算機上進行遠程代碼執(zhí)行。
13. 欺騙跟蹤設(shè)備
將位置報告標(biāo)簽附加到目標(biāo)身上時,跟蹤就變得輕而易舉,但這類系統(tǒng)很容易被濫用。會上,安全研究人員展示了一種針對基于超寬帶 ( UWB ) 無線電技術(shù)跟蹤系統(tǒng)的新型攻擊,能夠在目標(biāo)不知情的情況下實現(xiàn)跟蹤,甚至使目標(biāo)看起來按照攻擊者的意愿移動。UWB 已被用于包括蘋果公司在內(nèi)的多個公司的產(chǎn)品中,甚至也被用于大型基礎(chǔ)設(shè)施項目,例如紐約的地鐵信號設(shè)施系統(tǒng)。
14. 俄烏網(wǎng)絡(luò)戰(zhàn),電網(wǎng)成打擊目標(biāo)
俄烏爭端和該地區(qū)持續(xù)的戰(zhàn)亂已成為黑帽會議多次演講的主題,來自鄰國斯洛伐克的安全公司 ESET 的研究人員向與會者介紹了對烏克蘭電網(wǎng)的攻擊時間表,如果最近使用的Industroyer2惡意軟件成功實施攻擊,可能會導(dǎo)致 200 萬居民斷電。
有趣的是,Industroyer2 使用“Wiper”惡意軟件使受感染的機器無法使用,從而減慢了恢復(fù)工作。SentinelOne 的研究人員 Tom Hegel 和 Juan Andres Guerrero-Saade 指出,這一做法也意味著攻擊者必須放棄對受感染機器的訪問權(quán)限。他們分析了可觀察到的網(wǎng)絡(luò)攻擊,并強調(diào)很難得出結(jié)論,因為檢測到的可能只是實際攻擊發(fā)生的一小部分。
Industroyer 和 Industroyer2 的一個重要部分是使用可以與變電站中的斷路器和其他機制進行通信的工業(yè)協(xié)議。最初的 Industroyer 配備了4個協(xié)議,但 Industroyer2 只使用 IEC-104 協(xié)議。該協(xié)議用于許多電網(wǎng)且很容易受到攻擊,因為它是幾十年前設(shè)計的,已經(jīng)沒有安全性可言。
